我一直在使用Freeradius 3+&具有默认PEAP / EAP-TTLS站点的REST模块。但是,我无法在AAA的任何阶段向目标客户端发送错误消息。
我尝试过手动设置
update reply { Reply-Message := "test" }
在内/外隧道的后认证部分,都无济于事。
我还读到,回复消息不允许附带EAP消息,因此我对如何实际消息用户错误代码等非常困惑。有没有人想出如何在PEAP / EAP-TTLS上向客户发送消息
其他细节: AP - Unifi,客户 - Iphone; Linux XUbuntu; Windows 10
亲切的问候
答案 0 :(得分:1)
简单的答案是你不能。
很久以前,在远方的工作中,我们有HP ProCurve交换机。当这些交换机收到回复消息时,他们将内容转换为EAP通知数据包,该数据包将在最终EAP-Success之后发送。
对于Linux请求者,这会导致身份验证过程重新启动。对于其他操作系统,他们只是忽略它(OSX实际上会记录内容但不显示它)。
wpa_supplicant作者Jouni Malinen不会解决这个问题,因为他非常正确地声称交换机和我们的RADIUS服务器不符合RFC3579。
您可能向用户发送消息的唯一方法是在FreeRADIUS制作的EAP-Notification数据包中,我们目前不支持,即使我们这样做,也可能会被忽略大多数请求者可能会引起其他人的怪异行为。
默认虚拟服务器中存在实际删除任何回复消息属性的策略,以防止用户破坏RFC3579,但如果要进行实验,请在外部服务器中设置Reply-Message并删除this line。